Communications diplomatiques, plans militaires, documents financiers, carnets d’adresses de médias : les Desert Falcons auraient déjà dérobé plus d’un million de fichiers à environ 3000 victimes dans une cinquantaine de pays dont la France.
Les équipes de Kaspersky ont fait la lumière sur ce groupe de cyber-mercenaires de langue arabe qui compterait une trentaine de membres répartis en trois équipes (Palestine, Égypte et Turquie). L’éditeur assure connaître l’identité de certains de ces pirates spécialisés dans les attaques persistantes avancées (APT) et dont les premières traces sur le réseau Internet remonteraient à 2011.
En cours depuis au moins deux ans, la campagne des Desert Falcons a connu un pic d’activité en ce début d’année. Elle cible principalement le Moyen-Orient, avec Israël et la Jordanie en tête de liste. Moins de 50 organisations auraient été touchées en France.
Les agences de défense et les administrations (notamment celles responsables de la lutte anti-blanchiment) ne sont pas les seules dans le collimateur de ces mercenaires du numérique. La santé, les médias, la recherche, l’enseignement, les banques et les réseaux d’énergie le sont aussi, au même titre que les responsables politiques et les militants.
Dans le cadre de leurs opérations, les Desert Falcons utilisent leurs propres logiciels malveillants. En l’occurrence, un cheval de Troie et une porte dérobée (backdoor) baptisée DHS. Leur vecteur d’infection est classique, puisqu’il s’agit du phishing : les utilisateurs visés reçoivent des e-mails d’apparence légitime qui les incitent à ouvrir des documents corrompus ou à cliquer sur des liens déclenchant le téléchargement d’un fichier infecté.
Parmi les techniques employées pour déjouer la vigilance des utilisateurs, on peut noter l’inversion de suffixe : un nom de fichier pouvant signaler une extension malveillante est modifié pour ne pas éveiller les soupçons. Comme on peut le constater dans le schéma ci-dessous et en page 12 du rapport de Kaspersky (document PDF), fdp.scr devient rcs.pdf.
Le trojan développé par les Desert Falcons peut réaliser des captures d’écran, enregistrer la frappe clavier, aspirer des fichiers, collecter des informations dans des documents Word et Excel (y compris sur des périphériques de stockage amovibles), enregistrer des données audio et voler des mots de passe dans la base de registre Windows.
Comme le note Silicon.fr, Kaspersky a aussi détecté l’activité d’un malware « qui semble être une backdoor Android capable de pirater le journal des appels et des SMS sur un mobile ».
Crédit photo : Mariia Savoskula – Shutterstock.com
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…